Si estás probando mods en tu nuevo y flamante ‘GTA V’ de PC, cuidado con lo que instalas. En concreto se ha detectado la existencia de virus en los mods Angry Planes y Noclip, por lo que si has usado alguno de ellos, tienes el ordenador infectado.
El usuario aboutseven de GTAforums se encontraba realizando una revisión rutinaria de los procesos activos en su equipo cuando notó algo extraño, según explica. El compilador de C# de Windows (csc.exe) se estaba ejecutando en segundo plano, algo que en principio no debería suceder sin motivo. Decidió echarle un vistazo con algo más de detalle y vio que, por alguna razón, el compilador estaba enviando y recibiendo datos a través de Internet.
Para resumir el asunto, aboutseven descubrió que en la url no sólo aparecía el compilador (en realidad era un troyano), sino otro ejecutable con muy mala pinta llamado Fade.exe. Al abrir su ubicación, descubrió una nueva carpeta llamada Data en la que se estaban almacenando una serie de logs. Tras mucho trastear el equipo, llegó a la conclusión de que todo esto estaba relacionado directamente con los mencionados mods del ‘GTA V’.
Instrucciones para eliminar el virus
Tal y como aboutseven avisa, el hecho de no tener estos archivos en el equipo no significa que no esté infectado. Si has instalado alguno de estos mods, toma todas las medidas posibles. Las instrucciones que ofrece son las siguientes:
- Pulsa Ctrl+Shift+Esc, ve a procesos y cierra csc.exe
- Abre la carpeta Temp de tu equipo.
- Organiza los archivos por fecha, localiza init..exe y los que lleven extensión .z (puede ser también .x) y elimínalos.
- Algunos usuarios aseguran haber detectado también un archivo sin nombre tipo .zip o .rar. Si lo ves, elimínalo.
- Localiza una carpeta que se habrá creado recientemente y que llevará por nombre números y letras de forma aleatoria (todo esto siempre dentro de Temp). En su interior está el ejecutable Fade.exe. Si es así, elimina la carpeta que lo contiene.
- Ahora abre el registro de Windows escribiendo regedit en la caja de búsqueda del menú de Inicio.
- Busca la ruta indicada en esta imagen. HKEY_USERS es el primer directorio que verás y el siguiente es una larga cadena de carácteres distinta para cada persona. Elige la que lleva “Classes” al final. La clave que buscas es “Shell”. Si usas una custom shell elimina la cadena que lleva a Fade.exe. Si sólo contiene explorer.exe y nada más, puedes eliminarla o dejarla como está. Si no sabes muy bien de qué va todo esto, puedes eliminar “Shell” y ya está.
- Ahora ve a "HKEY_CURRENT_USER\Software\Microsoft\" en el registro y busca por “Fade” y “Leep” y elimínalos. Es posible que “Leep” sólo esté relacionada con el mod Noclip y no con el otro.
- Parece ser que también puede existir un GTA5.exe malicioso en el x64 del directorio del GTA V, probablemente relacionado con el mod Noclip. Ve a "C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\x64" y borra GTA5.exe si lo ves ahí.
- Elimina los mods de GTA V. No los vuelvas a usar. Si el servidor que estaba recogiendo la información vuelve a estar online podrías volver a verte afectado si decides seguir utilizando estos mods.
- Igual es buena idea ejecutar un antivirus llegado este momento para asegurarte de que todo está en orden.
- Reinicia tu equipo y asegúrate de que ninguna de las instancias de Fade.exe se está ejecutando.
Cambia tus contraseñas
Además de todo los pasos que hemos visto, aboutseven recomienda cambiar todas tus contraseñas si habías instalado alguno de esos dos mods una vez eliminado el virus (no antes). Probablemente tanto Angry Planes como Noclip tienen keyloggers o cualquier otro sistema de recolección de contraseñas usadas en tu navegador.
Como último recurso, si ves que tu equipo se ha infectado y no logras dar con la tecla, aboutseven deja caer la posibilidad de formatear por completo y reinstalar el sistema operativo. De hecho él mismo asegura haber hecho esto después de seguir todos los pasos anteriores para estar completamente seguro.
Otro usuario de GTAforums, a raíz de lo expuesto por aboutseven, ha llevado a cabo un análisis algo más profundo del asunto. Básicamente asegura que el mod Angry Planes incluye un troyano que es el que aparece como csc.exe en el listado de procesos ejecutándose.
Más información | GTAforums
Ver 24 comentarios